von Sascha Feller und OPT-Entwickler Gunter Geis

Vorraussetzungen:

• Einen Fli4l-Router ;-) (Version 2.0.2 oder höher, niedrigere Versionen wurden nicht getestet)

• Das Paket OPT_IPFWD

• Einen VPN-Server im lokalen Netzwerk

Dieses Paket dient dazu, um einen VPN-Server, bspw. den von Windows 2000 Advanced Server hinter einem Fli4l Router zu betreiben, dies ist mittels reinem Portforwarding nicht möglich.

Der Grund das ein einfaches Portforwarding nicht reicht, ist der, daß das Standart Portforwarding Modul von fli4l nur die Protokolle TCP (Protokoll Nummer 6) und UDP (Protokollnummer 17) forwardet. Da das PPTP Protokoll aber nicht nur per TCP über den Port 1723 "spricht", sondern zum Verbindungsaufbau und zur Datenflusskontrolle auch noch das so genannte GRE Protokoll (Protokollnummer 47) verwendet, ist es nötig hier ein zusätzliches OPT-Paket zu verwenden.

Die Installation des Paketes erfolgt wie bei anderen auch, in der ipfwd.txt, der Config Datei, müssen folgende Parameter angepasst werden:

OPT_IPFWD='yes' #Paket aktivieren
IPFWD_VPNSERVER='192.168.100.1' #Die IP-Adresse des VPN-Servers
IPFWD_PROTO='47' #Das GRE Protokoll (sollte nicht verändert werden)
IPFWD_DO_DEBUG='no' #Debugging aktivieren

Im Grunde muss nur die IP des internen VPN-Servers eingetragen werden, dieser Server wird dann dafür sorgen, dass er auch VPN Verbindungen
entgegen nehmen und Benutzter authentifizieren kann.

Des weiteren muss in der base.txt das MASQ_MODULE_x='pptp' aktiviert sein, sowie das OPT_PORTFW. Der Port 1723 muss als TCP sowie UDP auf den Server weitergeleitet werden.

OPT_PORTFW='yes' # install port forwarding tools/modules
PORTFW_N='2' # how many portforwardings to set up
PORTFW_1='1723 192.168.100.1:1723 tcp'
PORTFW_2='1723 192.168.100.1:1723 udp'

Alternativ kann natürlich auch in der portfw.sh (opt/etc/portfw.sh) das Forwarding an den Server eingerichtet werden.

hiddenhost1=192.168.100.1 # VPN-Server
# pptp
/usr/sbin/ipmasqadm autofw -A -v -r tcp 1723 1723 -h $hiddenhost1

/usr/sbin/ipmasqadm autofw -A -v -r udp1723 1723 -h $hiddenhost1

Handelt es sich um einen Windows 2000 Server, so muß man den Benutzern Einwahlrechte geben. Dies wird in der "Verwaltung" unter "Benutzer" gemacht, in den Eigenschaften des jeweiligen Benutzers "Einwählen" aufrufen und die entsprechenden Rechte zuweisen.

Fassen wir zusammen:

• ipfwd.txt anpassen

• PPTP Masquerading Modul muß geladen werden

• Portforwarding für den Port 1723 (UDP und TCP) in der base.txt oder in der
  opt/etc/portfw.sh und zwar auf den selben Server, der auch in der config/ipfwd.txt genannt ist (in unserem Beispiel also 192.168.100.1)

• Die Firewall muß natürlich Port 1723 durchlassen, was bei der Standartkonfiguration sowieso der Fall ist, ansonsten diesen Port freigeben
  
• Der Zielrechner, in unserem Beispiel 192.168.100.1 ein Windows 2000 Server, muß für VPN über PPTP konfiguriert sein
  
• Die Benutzer müssen Einwahlrechte erhalten

Wenn alles richtig eingerichtet wurde, sollte es nun möglich sein, aus dem Internet auf den internen VPN-Server zu connecten.

Klicken Sie hier, um die Seite auszudrucken.